2

Linux系統(tǒng)下如何轉(zhuǎn)儲(chǔ)內(nèi)存

進(jìn)程內(nèi)存轉(zhuǎn)儲(chǔ)

＃ProcDump－for－Linux＃

◆ 簡(jiǎn)介

ProcDump linux版功能與windows版基本相同，使用方式有所變化

◆ 下載地址

https：／／github．com／Sysinternals／ProcDump－for－Linux

◆ 環(huán)境限制

僅Linux系統(tǒng)下使用，開發(fā)者給出了rpm包和deb包

開發(fā)者給出的可運(yùn)行環(huán)境：

· Red Hat Enterprise Linux ／ CentOS 7

· Fedora 29

· Ubuntu 16．04 LTS

所支持的Linux發(fā)行版下安裝方式

https：／／github．com／Sysinternals／ProcDump－for－Linux／blob／master／INSTALL．md

◆ ProcDump－for－Linux使用方式

1． rpm －Uvh

rpm －Uvh

https：／／packages．microsoft．com／config／centos／7／packages－microsoft－prod．rpm

2． yum install procdump

輸入procdump檢查是否安裝成功

查看上面procdump給出的參數(shù)詳情來(lái)看，指定PID號(hào)需要加參數(shù)－p

或者使用－w直接指定進(jìn)程名來(lái)進(jìn)行dump

內(nèi)存鏡像

＃Linux Memory Grabbe＃

◆  簡(jiǎn)介

Linux Memory Grabber一個(gè)用于轉(zhuǎn)儲(chǔ)Linux內(nèi)存并創(chuàng)建Volatility（TM）配置文件的腳本。

◆ 下載地址

https：／／github．com／halpomeranz／lmg／

◆ 環(huán)境限制

僅在Linux系統(tǒng)下使用

◆ 安裝步驟

該工具可以安裝到U盤中，安裝方式：

https：／／github．com／halpomeranz／lmg／blob／master／INSTALL

◆ 前期準(zhǔn)備

Lmg：  https：／／github．com／halpomeranz／lmg／ 腳本主程序

avml：https：／／github．com／microsoft／avml（可直接下載二進(jìn)制文件） Linux的便攜式內(nèi)存采集工具

LiME：  https：／／github．com／504ensicsLabs／LiME

下載來(lái)的所有文件必須處于同一文件夾

◆ 安裝過(guò)程

新建目錄Linux＿M(jìn)emory＿Grabber

將需要用到的文件復(fù)制到新鍵的目錄中

Cp lmg／lmg Linux＿M(jìn)emory＿Grabber／

修改avml二進(jìn)制文件名

mv avml avml－＄（uname －m）

mv avml－convert avml－convert－＄（uname －m）

添加執(zhí)行權(quán)限

chmod ＋x avml－convert－x86＿64 avml－x86＿64

進(jìn)入到LiME／src目錄

Cd LiME／src

Patch ＜ ．．／．．／．．／lmg／lime－Makefile．patch

＃ Centos7下patch 命令使用yum －y install patch安裝即可

到這里即安裝完成，可以使用二進(jìn)制文件lmg來(lái)轉(zhuǎn)儲(chǔ)Linux系統(tǒng)內(nèi)存，該項(xiàng)目地址中還可以配置Volatility進(jìn)行聯(lián)動(dòng)。

＃使用lmg轉(zhuǎn)儲(chǔ)linux內(nèi)存鏡像＃

．／lmg －y

轉(zhuǎn)儲(chǔ)成功，保存路徑在當(dāng)前目錄下capture文件下

．lime為后綴的文件為系統(tǒng)內(nèi)存轉(zhuǎn)儲(chǔ)文件，可用與導(dǎo)入Volatility進(jìn)行內(nèi)存分析。

部分內(nèi)容源自互聯(lián)網(wǎng)公開資料整理